Екзамен з інформаційної безпеки

Podcast

Play an AI-generated podcast conversation about this lesson

Questions and Answers

Три найбільш поширені елементи управління компанією, що використовуються для захисту інформації, є:

Резервування, резервне копіювання та контроль доступу. (correct)
Хеші, реєстрація та резервне копіювання.
Контроль доступу, ведення журналів та цифрових підписів.
Шифрування, дозволи на доступ до файлів та контроль доступу.

Вкажіть типи вразливостей веб-додатків згідно класифікації (OWASP-10): посилання на зовнішні сутності в документах XML обробляються старими або погано налаштованими процесорами XML.

XXE(Unvalidated Redirects and Forwards) (correct)
Sensitive Data Exposure
Injections
Missing Function Level Access Control
Broken Authentication and Session Management
XSS (Cross Site Scripting)
Cross-Site Request Forgery, CSRF/XSRF
Using Components with Known Vulnerabilities
Security Misconfiguration
Insecure Direct Object References

Модель управління мережею Міжнародної організації зі стандартизації (ISO) визначає п'ять функціональних областей управління мережею (FCAPS). Виберіть, яка відповідає за: доступ до мережевих пристроїв та корпоративних ресурсів уповноваженим особам. Ця служба відповідає за автентифікацію, авторизацію, брандмауери, сегментацію мережі та сповіщення про спроби порушення безпеки.

Управління продуктивністю(Performance Management)
Управління відмовами(Fault Management)
Управління конфігурацією(Configuration Management)
Управління обліком(Accounting Management)
Управління безпекою(Security Management) (correct)

Інформаційна безпека корпорації включає:

Compliance (A), Communications and Operations (E), Business Continuity/ Disaster Recovery (F), Asset Management (G), Rules of Behavior (I), Security Management (J), Vendor Management (K), Acquisition/ Development/ Maintenance (L), Risk Management (M) Signup and view all the answers

Основною перевагою системи DMZ є:

Зловмисник повинен проникнути через три окремі пристрої, використовуючи інтернет (B), Внутрішні системи не мають прямого доступу до інтернету. (D), Приватні мережеві адреси є закритими і не розголошуються (E) Signup and view all the answers

До функцій, доступних у IDS, належать:

Компрометація інформації (A), Збирання і документування даних про нав'язливу діяльність (E), Виявлення вторгнень (F) Signup and view all the answers

Клас шкідливих програм, який приховує існування інших зловмисних програм шляхом зміни базової операційної системи.

Rootkit (A) Signup and view all the answers

Управління вразливістю в кібербезпеці починається з розуміння активів та їх розташування, що може бути досягнуто шляхом:

Ведення інвентаризації активів. (E) Signup and view all the answers

Виберіть з видів атак, які вказані неправильно:

Sniffer - атака з метою блокування ресурсів комп'ютера або мережі комп'ютерів через переповнення трафіку зовнішніми повідомленнями. (A), Exploit tools - шкідливий програмний фрагмент, здатний до впровадження в інформаційну систему у тілі переданого користувачем файла в інші файли комп'ютера, зокрема у файлі системних і прикладних програм та електронної пошти. (B), Virus - злоякісна програма, яка забезпечує зловмиснику доступ до конфіденційної інформації на віддаленому комп'ютері. (F), Trojan horse - злоякісні програми, здатні до самостійного створення своїх копій і розповсюдження їх по мережі (H), Back door - вид атаки шляхом впровадження шкідливих команд або даних в працюючу систему з метою впливу на роботу так, щоб отримати доступ до комп'ютера чи даних, або дестабілізувати роботу системи загалом. (I), Worm - різновид шкідливих програм, які маскуються під корисні додатки але наносять шкоду інформаційній системі: знищують або спотворюють інформацію на диску, викрадають паролі, спотворюють імена файлів і т.п. (J) Signup and view all the answers

Вкажіть рівень для OSI моделі, який перекладає мережеві адреси та маршрутизує дані від відправника до одержувача.

Layer Network (D) Signup and view all the answers

Фаза тестування SDLC включас:

Перевірку того, що програма, підсистема чи додаток та розроблені засоби безпеки виконують функції, для яких вони були розроблені; інші компоненти системи (A) Signup and view all the answers

Спрямовані (навмисні) дії в кіберпросторі, які здійснюються за допомогою засобів електронних комунікацій (включаючи інформаційно-комунікаційні технології, програмні, програмно-апаратні засоби, інші технічні та технологічні засоби і обладнання) та спрямовані на досягнення однієї або сукупності таких цілей: порушення конфіденційності, цілісності, доступності електронних інформаційних ресурсів, що обробляються (передаються, зберігаються) в комунікаційних та/або технологічних системах, отримання несанкціонованого доступу до таких ресурсів; порушення безпеки, сталого, надійного та штатного режиму функціонування комунікаційних та/або технологічних систем.

Attack (A) Signup and view all the answers

Яке з наведеного нижче є найкращим визначенням для кібербезпеки?

Захист інформаційних активів компанії шляхом адресації загроз інформації, обробки, зберігання або передачі взаємодіючими інформаційними системами (B) Signup and view all the answers

Flashcards

Три елементи захисту інформації

Шифрування, дозволи на доступ до файлів та контроль доступу.

Види вразливостей веб-додатків (OWASP-10)

XSS, Insecure Direct Object References, Injections, Missing Function Level Access Control, Broken Authentication and Session Management, Using Components with Known Vulnerabilities, Cross-Site Request Forgery (CSRF/XSRF), XXE (Unvalidated Redirects and Forwards), Sensitive Data Exposure, Security Misconfiguration.

Функціональна область управління мережею (ISO FCAPS)

Управління безпекою (Security Management) відповідає за доступ до мережевих пристроїв та ресурсів уповноваженим.

Компоненти інформаційної безпеки

Управління ризиками, політики, комунікації, управління брандмауерами, відповідність стандартам, управління постачальниками, безперервність бізнесу, управління активами, правила поведінки, стандарти.